Image
全(quan)國(guo)統(tong)一服務(wu)熱線
0351-4073466

建立完善商用密碼應用安全性評估體系,推動商用密碼規范應用

編輯:2023-06-09 08:52:45

2020年起實施的《中華(hua)人民共和國(guo)密(mi)(mi)碼(ma)法》(以(yi)下簡稱(cheng)《密(mi)(mi)碼(ma)法》)明確(que)規(gui)定了(le)商用密(mi)(mi)碼(ma)應(ying)用安全性評估(以(yi)下簡稱(cheng)密(mi)(mi)評)有關要求,新(xin)修訂的《商用密(mi)(mi)碼(ma)管(guan)理(li)條例》(以(yi)下簡稱(cheng)《條例》)進(jin)一步細化(hua)了(le)相關規(gui)定。密(mi)(mi)評對我國(guo)商用密(mi)(mi)碼(ma)應(ying)用和管(guan)理(li)工作具(ju)有重(zhong)要的推動(dong)和規(gui)范作用,其體(ti)系(xi)也在不(bu)斷(duan)發展和完善過程(cheng)中。


一、商用密碼應用安全性評估體系初步建立

2007年,國家密碼管(guan)(guan)理(li)局(ju)印發(fa)《信息安全(quan)等(deng)級保護商用密碼管(guan)(guan)理(li)辦法(fa)》,成為密評(ping)(ping)工(gong)(gong)作的(de)肇始(shi)和(he)開端。2017年,國家密碼管(guan)(guan)理(li)局(ju)印發(fa)《關于(yu)開展(zhan)密碼應用安全(quan)性評(ping)(ping)估(gu)試點(dian)工(gong)(gong)作的(de)通知》,密評(ping)(ping)工(gong)(gong)作走上了(le)發(fa)展(zhan)快車道,密評(ping)(ping)體系建(jian)設在法(fa)律(lv)法(fa)規(gui)(gui)、標準規(gui)(gui)范、機構培育等(deng)方面取得了(le)長足(zu)的(de)進展(zhan),科學(xue)性和(he)規(gui)(gui)范性不斷提升。

(一)體制機制與法規依據逐步成熟規范

《密(mi)(mi)碼(ma)(ma)法(fa)》首次確(que)立(li)了密(mi)(mi)評(ping)(ping)工作(zuo)(zuo)的(de)(de)法(fa)律(lv)地位。《密(mi)(mi)碼(ma)(ma)法(fa)》第二十七(qi)條對關(guan)鍵信息(xi)基(ji)礎設(she)施(shi)使用商用密(mi)(mi)碼(ma)(ma)和開展密(mi)(mi)評(ping)(ping)提出了明確(que)要(yao)求(qiu),并在第三十七(qi)條對違反(fan)該(gai)要(yao)求(qiu)的(de)(de)行為明確(que)了罰則(ze),這(zhe)從根本上建立(li)起了密(mi)(mi)評(ping)(ping)制度,也是開展密(mi)(mi)評(ping)(ping)工作(zuo)(zuo)最(zui)基(ji)本的(de)(de)法(fa)律(lv)依據。隨(sui)著《密(mi)(mi)碼(ma)(ma)法(fa)》的(de)(de)貫徹實(shi)施(shi),密(mi)(mi)評(ping)(ping)工作(zuo)(zuo)也得到了越(yue)來越(yue)多的(de)(de)關(guan)注和認可,成為了密(mi)(mi)碼(ma)(ma)應(ying)用推進工作(zuo)(zuo)的(de)(de)重要(yao)抓手。

新(xin)修訂的(de)《條(tiao)例(li)》對(dui)密(mi)(mi)(mi)(mi)評(ping)(ping)工作提出了(le)更(geng)加(jia)具體(ti)(ti)和細化(hua)的(de)要求(qiu)(qiu)(qiu)。在落實《密(mi)(mi)(mi)(mi)碼(ma)(ma)(ma)法(fa)》要求(qiu)(qiu)(qiu)的(de)基礎(chu)上,《條(tiao)例(li)》第三(san)十八條(tiao)進(jin)一(yi)(yi)步明確(que)(que)了(le)關(guan)鍵(jian)信(xin)息基礎(chu)設施“三(san)同步”、每(mei)年定(ding)期評(ping)(ping)估以(yi)及備案(an)管理(li)(li)的(de)具體(ti)(ti)要求(qiu)(qiu)(qiu):“……運營(ying)者應當(dang)使用(yong)(yong)商用(yong)(yong)密(mi)(mi)(mi)(mi)碼(ma)(ma)(ma)進(jin)行(xing)(xing)(xing)保護(hu),制(zhi)(zhi)(zhi)定(ding)商用(yong)(yong)密(mi)(mi)(mi)(mi)碼(ma)(ma)(ma)應用(yong)(yong)方案(an),配備必要的(de)資金和專業人員,同步規(gui)劃、同步建設、同步運行(xing)(xing)(xing)商用(yong)(yong)密(mi)(mi)(mi)(mi)碼(ma)(ma)(ma)保障系統,自行(xing)(xing)(xing)或(huo)者委托商用(yong)(yong)密(mi)(mi)(mi)(mi)碼(ma)(ma)(ma)檢(jian)測機構開(kai)(kai)展(zhan)商用(yong)(yong)密(mi)(mi)(mi)(mi)碼(ma)(ma)(ma)應用(yong)(yong)安(an)(an)全(quan)性評(ping)(ping)估。……,運行(xing)(xing)(xing)后每(mei)年至(zhi)少進(jin)行(xing)(xing)(xing)一(yi)(yi)次評(ping)(ping)估,評(ping)(ping)估情(qing)況按照(zhao)國家(jia)有關(guan)規(gui)定(ding)報送(song)國家(jia)密(mi)(mi)(mi)(mi)碼(ma)(ma)(ma)管理(li)(li)部門或(huo)者關(guan)鍵(jian)信(xin)息基礎(chu)設施所(suo)在地省、自治區、直轄市密(mi)(mi)(mi)(mi)碼(ma)(ma)(ma)管理(li)(li)部門備案(an)。”對(dui)于與(yu)(yu)網(wang)(wang)(wang)絡(luo)(luo)(luo)(luo)安(an)(an)全(quan)等(deng)(deng)級(ji)(ji)保護(hu)制(zhi)(zhi)(zhi)度(du)的(de)銜接,《條(tiao)例(li)》第四(si)十一(yi)(yi)條(tiao)規(gui)定(ding):“網(wang)(wang)(wang)絡(luo)(luo)(luo)(luo)運營(ying)者應當(dang)按照(zhao)國家(jia)網(wang)(wang)(wang)絡(luo)(luo)(luo)(luo)安(an)(an)全(quan)等(deng)(deng)級(ji)(ji)保護(hu)制(zhi)(zhi)(zhi)度(du)要求(qiu)(qiu)(qiu),使用(yong)(yong)商用(yong)(yong)密(mi)(mi)(mi)(mi)碼(ma)(ma)(ma)保護(hu)網(wang)(wang)(wang)絡(luo)(luo)(luo)(luo)安(an)(an)全(quan)。國家(jia)密(mi)(mi)(mi)(mi)碼(ma)(ma)(ma)管理(li)(li)部門根據網(wang)(wang)(wang)絡(luo)(luo)(luo)(luo)的(de)安(an)(an)全(quan)保護(hu)等(deng)(deng)級(ji)(ji),確(que)(que)定(ding)商用(yong)(yong)密(mi)(mi)(mi)(mi)碼(ma)(ma)(ma)的(de)使用(yong)(yong)、管理(li)(li)和應用(yong)(yong)安(an)(an)全(quan)性評(ping)(ping)估要求(qiu)(qiu)(qiu),制(zhi)(zhi)(zhi)定(ding)網(wang)(wang)(wang)絡(luo)(luo)(luo)(luo)安(an)(an)全(quan)等(deng)(deng)級(ji)(ji)保護(hu)密(mi)(mi)(mi)(mi)碼(ma)(ma)(ma)標準規(gui)范。”這及時(shi)回應了(le)社(she)會對(dui)于等(deng)(deng)級(ji)(ji)保護(hu)對(dui)象(xiang)開(kai)(kai)展(zhan)密(mi)(mi)(mi)(mi)碼(ma)(ma)(ma)應用(yong)(yong)與(yu)(yu)安(an)(an)全(quan)性評(ping)(ping)估的(de)關(guan)切,為等(deng)(deng)級(ji)(ji)保護(hu)對(dui)象(xiang)開(kai)(kai)展(zhan)密(mi)(mi)(mi)(mi)評(ping)(ping)提供了(le)基本遵循。

除了(le)(le)《密(mi)碼法(fa)(fa)》和(he)(he)《條例》外,相關部(bu)門規(gui)章和(he)(he)規(gui)范性文件也對密(mi)碼應(ying)用(yong)和(he)(he)密(mi)評作出(chu)了(le)(le)明確規(gui)定,包括國務(wu)院辦(ban)(ban)公廳印(yin)發(fa)的(de)《國家政(zheng)務(wu)信(xin)(xin)息(xi)化項目建(jian)設管理(li)辦(ban)(ban)法(fa)(fa)》、公安部(bu)印(yin)發(fa)的(de)《貫徹落實網絡安全(quan)(quan)等(deng)級(ji)保(bao)護制(zhi)度(du)和(he)(he)關鍵信(xin)(xin)息(xi)基礎設施安全(quan)(quan)保(bao)護制(zhi)度(du)的(de)指導(dao)意見(jian)》、財政(zheng)部(bu)印(yin)發(fa)的(de)《政(zheng)務(wu)信(xin)(xin)息(xi)系統政(zheng)府(fu)采購(gou)管理(li)暫(zan)行辦(ban)(ban)法(fa)(fa)》等(deng),與(yu)上述法(fa)(fa)律(lv)法(fa)(fa)規(gui)一起,共同構成了(le)(le)密(mi)評工作的(de)法(fa)(fa)律(lv)依據(ju)和(he)(he)制(zhi)度(du)支(zhi)撐。

(二)技術體系與標準規范不斷健全完善

2018年初(chu),為指導(dao)密評(ping)(ping)(ping)試點工作(zuo)開展,國家密碼(ma)(ma)管理局發布了密碼(ma)(ma)行(xing)業標準GM/T-0054《信息(xi)(xi)系統(tong)(tong)密碼(ma)(ma)應用(yong)基本(ben)要求》。2018年以(yi)來(lai),基于GM/T-0054開展的(de)密碼(ma)(ma)應用(yong)和安(an)全(quan)性評(ping)(ping)(ping)估工作(zuo),充分驗證了密評(ping)(ping)(ping)工作(zuo)的(de)科(ke)學性和可行(xing)性。該標準也在2021年上升為國家標準GB/T-39786《信息(xi)(xi)安(an)全(quan)技(ji)術 信息(xi)(xi)系統(tong)(tong)密碼(ma)(ma)應用(yong)基本(ben)要求》,結合(he)密評(ping)(ping)(ping)工作(zuo)實(shi)踐對內容進行(xing)了優化,更為科(ke)學合(he)理。

為(wei)了配合GB/T-39786的實施,更好地指導(dao)(dao)和(he)規(gui)范密(mi)(mi)(mi)(mi)評(ping)(ping)活動,中國密(mi)(mi)(mi)(mi)碼(ma)(ma)學會密(mi)(mi)(mi)(mi)評(ping)(ping)聯委(wei)會組織制(zhi)定了《信(xin)息系統密(mi)(mi)(mi)(mi)碼(ma)(ma)應(ying)用(yong)測評(ping)(ping)要求》《信(xin)息系統密(mi)(mi)(mi)(mi)碼(ma)(ma)應(ying)用(yong)測評(ping)(ping)過程指南(nan)》《信(xin)息系統密(mi)(mi)(mi)(mi)碼(ma)(ma)應(ying)用(yong)高風險判定指引》《商用(yong)密(mi)(mi)(mi)(mi)碼(ma)(ma)應(ying)用(yong)安(an)(an)全性評(ping)(ping)估量化評(ping)(ping)估規(gui)則(ze)》《商用(yong)密(mi)(mi)(mi)(mi)碼(ma)(ma)應(ying)用(yong)安(an)(an)全性評(ping)(ping)估報告模板》等5項(xiang)指導(dao)(dao)性文件,其中前2項(xiang)已正式(shi)發(fa)布(bu)為(wei)密(mi)(mi)(mi)(mi)碼(ma)(ma)行(xing)業標準GM/T-0115和(he)GM/T-0116。

相比(bi)于原(yuan)有(you)的(de)(de)符合性判定“一票(piao)否決”的(de)(de)規則(ze),新(xin)的(de)(de)密評(ping)標準(zhun)框架豐富了(le)密評(ping)結果(guo)的(de)(de)出(chu)具過程(cheng),提出(chu)了(le)“量(liang)(liang)化評(ping)估(gu)+風險(xian)判定”的(de)(de)綜合判定思路。量(liang)(liang)化評(ping)估(gu)是為了(le)“保(bao)量(liang)(liang)”,即(ji)(ji)商用(yong)(yong)密碼(ma)應用(yong)(yong)應當達到一定的(de)(de)程(cheng)度,便于縱向(xiang)和(he)橫向(xiang)的(de)(de)比(bi)較;風險(xian)判定是為了(le)“保(bao)質”,即(ji)(ji)守住信(xin)息系統的(de)(de)安全底線。此外(wai),為了(le)規范密評(ping)實施和(he)判定活動,中(zhong)國密碼(ma)學會密評(ping)聯委(wei)會還(huan)組織編制了(le)《商用(yong)(yong)密碼(ma)應用(yong)(yong)安全性評(ping)估(gu)FAQ》,以(yi)問答(da)形式解釋了(le)密評(ping)過程(cheng)中(zhong)常見問題,并(bing)確立(li)了(le)定期更新(xin)機制,不斷應對技術發(fa)展和(he)應用(yong)(yong)情況的(de)(de)變化,以(yi)持續(xu)保(bao)持密評(ping)標準(zhun)體系的(de)(de)活力(li)。

(三)機構規模與能力水平持續壯大提升

密(mi)(mi)(mi)(mi)評(ping)(ping)機(ji)(ji)(ji)構不(bu)(bu)僅是密(mi)(mi)(mi)(mi)評(ping)(ping)工作(zuo)實(shi)施(shi)開(kai)展的(de)(de)(de)(de)主體(ti),還是密(mi)(mi)(mi)(mi)碼(ma)應用推進(jin)(jin)工作(zuo)的(de)(de)(de)(de)宣傳隊,因此(ci)其專業(ye)水平十分重(zhong)要(yao)。2017年(nian)底,第一(yi)(yi)批(pi)(pi)密(mi)(mi)(mi)(mi)評(ping)(ping)試(shi)(shi)點(dian)(dian)機(ji)(ji)(ji)構遴選(xuan)(xuan)工作(zuo)正(zheng)式開(kai)始,經培育(yu)考(kao)(kao)核(he)(he)(he)(he),確定了(le)(le)首批(pi)(pi)密(mi)(mi)(mi)(mi)評(ping)(ping)試(shi)(shi)點(dian)(dian)機(ji)(ji)(ji)構。2019年(nian)底,第二(er)批(pi)(pi)密(mi)(mi)(mi)(mi)評(ping)(ping)試(shi)(shi)點(dian)(dian)機(ji)(ji)(ji)構的(de)(de)(de)(de)遴選(xuan)(xuan)正(zheng)式啟(qi)動,吸取(qu)第一(yi)(yi)批(pi)(pi)密(mi)(mi)(mi)(mi)評(ping)(ping)試(shi)(shi)點(dian)(dian)機(ji)(ji)(ji)構能(neng)力(li)考(kao)(kao)核(he)(he)(he)(he)的(de)(de)(de)(de)經驗,結合(he)密(mi)(mi)(mi)(mi)評(ping)(ping)試(shi)(shi)點(dian)(dian)階段(duan)實(shi)際(ji)密(mi)(mi)(mi)(mi)評(ping)(ping)工作(zuo)的(de)(de)(de)(de)要(yao)求(qiu),第二(er)批(pi)(pi)密(mi)(mi)(mi)(mi)評(ping)(ping)試(shi)(shi)點(dian)(dian)機(ji)(ji)(ji)構的(de)(de)(de)(de)能(neng)力(li)考(kao)(kao)核(he)(he)(he)(he)進(jin)(jin)一(yi)(yi)步(bu)完(wan)善(shan),在原(yuan)有的(de)(de)(de)(de)人員能(neng)力(li)筆試(shi)(shi)考(kao)(kao)核(he)(he)(he)(he)和(he)機(ji)(ji)(ji)構條件現場考(kao)(kao)核(he)(he)(he)(he)基礎上,將密(mi)(mi)(mi)(mi)評(ping)(ping)報(bao)告評(ping)(ping)估和(he)密(mi)(mi)(mi)(mi)評(ping)(ping)實(shi)戰(zhan)(zhan)能(neng)力(li)考(kao)(kao)核(he)(he)(he)(he)納入能(neng)力(li)考(kao)(kao)核(he)(he)(he)(he)范圍。這(zhe)其中,實(shi)戰(zhan)(zhan)能(neng)力(li)考(kao)(kao)核(he)(he)(he)(he)是充分克服了(le)(le)新冠(guan)疫情的(de)(de)(de)(de)不(bu)(bu)利影響,積極探索(suo)解決密(mi)(mi)(mi)(mi)評(ping)(ping)實(shi)戰(zhan)(zhan)能(neng)力(li)如何考(kao)(kao)核(he)(he)(he)(he)的(de)(de)(de)(de)難題,取(qu)得了(le)(le)很好(hao)的(de)(de)(de)(de)成效(xiao)(xiao),也獲得了(le)(le)參與考(kao)(kao)核(he)(he)(he)(he)機(ji)(ji)(ji)構的(de)(de)(de)(de)積極反饋(kui)。實(shi)戰(zhan)(zhan)能(neng)力(li)考(kao)(kao)核(he)(he)(he)(he)貼近實(shi)際(ji),不(bu)(bu)再是“紙上談(tan)兵”,一(yi)(yi)方面(mian)覆蓋了(le)(le)原(yuan)本(ben)理論考(kao)(kao)試(shi)(shi)無法(fa)涉及的(de)(de)(de)(de)內容,對(dui)機(ji)(ji)(ji)構實(shi)戰(zhan)(zhan)能(neng)力(li)進(jin)(jin)行了(le)(le)有效(xiao)(xiao)評(ping)(ping)價,另一(yi)(yi)方面(mian)也對(dui)密(mi)(mi)(mi)(mi)評(ping)(ping)工作(zuo)的(de)(de)(de)(de)開(kai)展起到了(le)(le)有效(xiao)(xiao)的(de)(de)(de)(de)引導(dao)和(he)教育(yu)作(zuo)用,將密(mi)(mi)(mi)(mi)評(ping)(ping)機(ji)(ji)(ji)構原(yuan)先(xian)對(dui)算法(fa)、產品進(jin)(jin)行簡單(dan)核(he)(he)(he)(he)查的(de)(de)(de)(de)僵化(hua)思路,逐步(bu)轉變(bian)為(wei)充分采(cai)集證據、深入分析(xi)數據、客觀給出結果的(de)(de)(de)(de)科學化(hua)、合(he)理化(hua)路徑。

2020年(nian)7月,國家(jia)密(mi)(mi)(mi)碼管理局公布了第一批24家(jia)密(mi)(mi)(mi)評(ping)試(shi)(shi)點機構(gou)目(mu)錄,并(bing)于2021年(nian)6月進行(xing)目(mu)錄更新,其中可面向全國開展(zhan)密(mi)(mi)(mi)評(ping)業(ye)務(wu)的機構(gou)共48家(jia),另外25家(jia)可面向本(ben)省本(ben)行(xing)業(ye)開展(zhan)密(mi)(mi)(mi)評(ping)業(ye)務(wu),形成了階梯式的密(mi)(mi)(mi)評(ping)機構(gou)層次架構(gou)。密(mi)(mi)(mi)評(ping)試(shi)(shi)點機構(gou)規模不斷擴大、能(neng)力逐步提升,為(wei)密(mi)(mi)(mi)評(ping)工(gong)作規模化(hua)(hua)、規范化(hua)(hua)發展(zhan)提供(gong)了重要支撐。


二、貫徹落實《條例》,進一步完善密評體系

《條例》關于密評的規定,既是對關鍵信息基礎設施運營者(zhe)密評主體責(ze)任(ren)的明確,也對密評體系建設提(ti)出(chu)了(le)更高(gao)要求,指引著(zhu)密評體系建設不斷發(fa)展完善(shan)。

(一)持續拓展密評工作深度廣度,不斷增強重要領域密碼應用水平

在法(fa)(fa)律(lv)法(fa)(fa)規層(ceng)面,可(ke)以預見的(de)(de)是,隨著《條例》發布,配(pei)套的(de)(de)規章(zhang)制(zhi)度(du)也會陸續出(chu)臺,進一步(bu)細化對(dui)密(mi)(mi)(mi)(mi)評(ping)(ping)機(ji)構(gou)管(guan)理和(he)(he)(he)對(dui)密(mi)(mi)(mi)(mi)評(ping)(ping)工作(zuo)管(guan)理等要求。在這些(xie)法(fa)(fa)律(lv)法(fa)(fa)規的(de)(de)具體(ti)要求下,密(mi)(mi)(mi)(mi)評(ping)(ping)機(ji)構(gou)和(he)(he)(he)人員的(de)(de)管(guan)理將進一步(bu)規范,開(kai)展密(mi)(mi)(mi)(mi)評(ping)(ping)的(de)(de)信息系統范圍和(he)(he)(he)數量將進一步(bu)擴大。下一步(bu),在前期金融(rong)、政務等領域開(kai)展密(mi)(mi)(mi)(mi)碼(ma)應(ying)用(yong)和(he)(he)(he)密(mi)(mi)(mi)(mi)評(ping)(ping)工作(zuo)的(de)(de)良好基礎上,要進一步(bu)深入擴展到其他重要領域和(he)(he)(he)行(xing)業(ye),推(tui)動密(mi)(mi)(mi)(mi)碼(ma)應(ying)用(yong)和(he)(he)(he)密(mi)(mi)(mi)(mi)評(ping)(ping)要求在重要領域和(he)(he)(he)行(xing)業(ye)落地生(sheng)根,持續增強密(mi)(mi)(mi)(mi)碼(ma)應(ying)用(yong)的(de)(de)廣度(du)和(he)(he)(he)深度(du)。

(二)持續推進標準文件更新出臺,不斷為密評體系注入生命力

GB/T-39786針對信息系統提(ti)出了通用(yong)(yong)性的(de)(de)密(mi)碼(ma)(ma)(ma)(ma)應用(yong)(yong)基本要(yao)求,但無法適(shi)配于(yu)所有(you)類(lei)型信息系統和(he)(he)應用(yong)(yong)場景。近些年,國家密(mi)碼(ma)(ma)(ma)(ma)管理局以(yi)密(mi)碼(ma)(ma)(ma)(ma)行(xing)業標(biao)(biao)準形(xing)(xing)式發布了針對具體應用(yong)(yong)場景的(de)(de)密(mi)碼(ma)(ma)(ma)(ma)應用(yong)(yong)技術要(yao)求和(he)(he)指南(nan),包括電(dian)子(zi)(zi)保單、網上(shang)銀行(xing)、遠(yuan)程移(yi)動支付(fu)、電(dian)子(zi)(zi)招投(tou)標(biao)(biao)、區塊鏈等。隨著(zhu)密(mi)碼(ma)(ma)(ma)(ma)應用(yong)(yong)范圍的(de)(de)不(bu)斷擴大,亟需新一批的(de)(de)指導性文(wen)件用(yong)(yong)于(yu)指導具體場景的(de)(de)密(mi)碼(ma)(ma)(ma)(ma)應用(yong)(yong)建設(she)和(he)(he)安全(quan)性評(ping)估(gu)工(gong)作,并(bing)適(shi)情開(kai)展(zhan)文(wen)件的(de)(de)標(biao)(biao)準化。另外,目前密(mi)評(ping)體系文(wen)件中形(xing)(xing)成標(biao)(biao)準的(de)(de)還不(bu)多,還需進(jin)一步推進(jin)已經在制(zhi)標(biao)(biao)過程中的(de)(de)《信息系統密(mi)碼(ma)(ma)(ma)(ma)應用(yong)(yong)方(fang)案設(she)計指南(nan)》和(he)(he)《信息系統密(mi)碼(ma)(ma)(ma)(ma)應用(yong)(yong)實施(shi)指南(nan)》等應用(yong)(yong)指導類(lei)文(wen)件加快(kuai)成熟,以(yi)更(geng)好指導密(mi)碼(ma)(ma)(ma)(ma)應用(yong)(yong)與安全(quan)性評(ping)估(gu)工(gong)作。

(三)持續加強技術手段建設,不斷提升密評機構能力水平

在密(mi)評(ping)(ping)(ping)實(shi)施過(guo)程中(zhong),目前的(de)工(gong)(gong)(gong)具(ju)(ju)(ju)和手(shou)段(duan)還不能(neng)較好支撐對專(zhuan)門領域(如(ru)5G、工(gong)(gong)(gong)業(ye)互聯網)中(zhong)的(de)密(mi)碼(ma)(ma)(ma)協(xie)議和密(mi)碼(ma)(ma)(ma)應(ying)(ying)(ying)用(yong)情況(kuang)進行有效檢查(cha),在對信息(xi)系統重要數(shu)據的(de)深入自動(dong)(dong)(dong)分析及(ji)密(mi)碼(ma)(ma)(ma)應(ying)(ying)(ying)用(yong)漏洞的(de)探測(ce)方(fang)面也(ye)存在較大(da)欠缺。因此(ci),未(wei)來需要圍繞密(mi)評(ping)(ping)(ping)實(shi)踐過(guo)程中(zhong)的(de)各個技(ji)(ji)術(shu)驗證(zheng)點(dian),進一(yi)步加強密(mi)評(ping)(ping)(ping)業(ye)務開展(zhan)的(de)技(ji)(ji)術(shu)手(shou)段(duan)建(jian)設(she)。一(yi)方(fang)面,基于密(mi)碼(ma)(ma)(ma)產品/服務等相關(guan)標準完善現有典型(xing)密(mi)評(ping)(ping)(ping)工(gong)(gong)(gong)具(ju)(ju)(ju),同(tong)時研制并集(ji)成密(mi)評(ping)(ping)(ping)新工(gong)(gong)(gong)具(ju)(ju)(ju),如(ru)自動(dong)(dong)(dong)化分析工(gong)(gong)(gong)具(ju)(ju)(ju)、密(mi)碼(ma)(ma)(ma)應(ying)(ying)(ying)用(yong)滲透(tou)測(ce)試(shi)工(gong)(gong)(gong)具(ju)(ju)(ju),形(xing)成可(ke)聯動(dong)(dong)(dong)、可(ke)動(dong)(dong)(dong)態配(pei)置、自動(dong)(dong)(dong)化、一(yi)體(ti)化的(de)密(mi)評(ping)(ping)(ping)工(gong)(gong)(gong)具(ju)(ju)(ju)平(ping)(ping)臺;另一(yi)方(fang)面,加強密(mi)碼(ma)(ma)(ma)應(ying)(ying)(ying)用(yong)典型(xing)風(feng)險(xian)庫和應(ying)(ying)(ying)對知識庫建(jian)設(she),為密(mi)評(ping)(ping)(ping)人員的(de)知識培(pei)(pei)訓、實(shi)戰考(kao)核和能(neng)力(li)驗證(zheng)提供基礎(chu)保障。此(ci)外,還需加強密(mi)碼(ma)(ma)(ma)應(ying)(ying)(ying)用(yong)攻防平(ping)(ping)臺建(jian)設(she),整合密(mi)碼(ma)(ma)(ma)應(ying)(ying)(ying)用(yong)風(feng)險(xian)庫以(yi)及(ji)對應(ying)(ying)(ying)的(de)典型(xing)案例庫、惡(e)意攻擊行為庫等知識庫,結合一(yi)體(ti)化密(mi)評(ping)(ping)(ping)工(gong)(gong)(gong)具(ju)(ju)(ju)平(ping)(ping)臺,形(xing)成涵蓋環境(jing)仿真(zhen)、密(mi)評(ping)(ping)(ping)人員培(pei)(pei)訓演練、密(mi)評(ping)(ping)(ping)機(ji)構能(neng)力(li)驗證(zheng)為一(yi)體(ti)的(de)密(mi)評(ping)(ping)(ping)核心基礎(chu)設(she)施,全面提升我(wo)國密(mi)評(ping)(ping)(ping)工(gong)(gong)(gong)作質量水平(ping)(ping)和實(shi)戰能(neng)力(li),切實(shi)維(wei)護重要網絡與(yu)信息(xi)系統安全。






文章來源:國家密碼管理(li)局網站

Image
Image
版權(quan)所有:山西科信源科技股(gu)份有限公司
咨詢熱線:0351-4073466?
地址:(北區(qu))山西省(sheng)太原市迎澤區(qu)新建南路文(wen)源巷(xiang)24號(hao)文(wen)源公(gong)務中心5層
? ? ? ? ? ?(南區)太原市小店區南中環(huan)街529 號清控創新(xin)基地(di)A座4層
Image
?2021 山西科信源信息科技有限公司 晉ICP備15000945號 技術支持 - 資海科技集團